SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | Anterior | ||
NUEVA VARIANTE POLIMORFICA DEL VIRUS MAGISTR
Nueva variante del virus gusano de difusión
masiva a través de e-mail
Nombre de virus: W32/Magistr.b @ mm
Alias conocidos: I-Worm.Magistr.b , W32.Magistr.b, PE_MAGISTR.B
Riesgo Infección: Alto (Bajo, Alto, Muy Alto)
Activación: Envía mails a las listas de Outlook, Eudora, y correo en general e infecta ficheros PE, y tiene payload destructivo !!!
Propagación: Por ejecución fichero aleatorio recibido anexado a un e-mail
Detección: DATS 4158 (o EXTRA.DAT)
Motor necesario: 4.1.40
Infección actual: Media (Inicial, Media, Elevada)
Ayer empezamos a recibir muestras de ficheros PE en los que el antivirus no detectaba
virus alguno, pero la falsa extensión de alguno de ellos (BAT y COM siendo EXE Portables
Ejecutables), y la información de algunos usuarios de que en algunos casos al acercar el
puntero del mouse a los iconos, estos se escapaban, como ya ocurría algunas veces con el
anterior W32/Magistr @ mm, nos indujo a considerar la posibilidad de que se tratara de una
variante descontrolada del conocido Magistr, pero en este caso polimórfico y con
sensibles diferencias, pues en W9x sobreescribe el WIN.COM y en NT y W2000 el NTLDR, de
forma que al reiniciar el ordenador, las rutinas de los nuevos sustitutos del WIN.COM y
del NTLDR, borran el disco duro.
Otra diferencia sensible es el que esta variante puede enviar, anexado al e-mail, cualquier GIF encontrado en el disco duro, además de ficheros infectados con extensión EXE, COM, BAT,etc.
Una diferencia mas es su capacidad de infectar los ordenadores en red, para lo que busca los siguientes directorios, y, si los encuentra, modifica el Win.ini y System.ini del ordenador remoto en las secciones de Windows RUN y BOOT Shell respectivamente:
WIN95, WIN98, WINNT, WINDOWS, WINME, WIN2000, WIN2K y WINXP.
Otras diferencias es que si encuentra ficheros con extensión NTZ, estos son borrados, y finaliza el firewall ZONEALARM si está activo en memoria RAM.
Anexamos fichero EXTRA.ZIP con EXTRA.DAT y utilidad EXTRADAT.EXE para copiar facilmente el EXTRA.DAT en el directorio del antivirus. Para ello, con el EXTRA.DAT en un disquete colocado en A, ejecutar EXTRADAT.EXE, y si está en uso en C:, arrancar en MSDOS y ejecutar EXTRADAT.EXE desde A:
SATINFO, VIRUSCAN SPAIN SERVICE 6-9-2001
